1 / 48

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning. Mary Ann Lundteigen NTNU Medlem av IEC 61511 komiteen. PDS forum – 26. oktober 2010. Innhold. Agenda. IEC 61508 og relaterte standarder IEC 61511 – tidsskjema Et utvalg av endringer i: Del 1 Del 2 Del 4

happy
Download Presentation

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning Mary Ann Lundteigen NTNU Medlem av IEC 61511 komiteen PDS forum – 26. oktober 2010

  2. Innhold Agenda • IEC 61508 og relaterte standarder • IEC 61511 – tidsskjema • Et utvalg av endringer i: • Del 1 • Del 2 • Del 4 • Del 6 Unntak: Jeg dekker ikke endringer i del 3 og del 5. Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  3. IEC 61508 og relaterte standarder Agenda Generelt IEC 61508 Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon IEC 62425 IEC 62269 (Jernbane) IEC 61511 (Prosessindustri inkl. O&G) IEC 62061 (Maskineri) IEC 61513 (Kjernekraft) ISO 26262 (Bil)

  4. Endringer i IEC 61511 – hva kan vi vente Nasjonale kommentarer Hvilke endringer er relevante for IEC 61511? Agenda Generelt Endringer Del 1 Del 2 Del 4 IEC 61508 (ed 2) IEC 61511 ( under revision) Del 6 Konklusjon

  5. Tidsplan Jan Ståle Austbø (Statoil), Cato Bratt (ABB), Mary Ann Lundteigen (NTNU) IEC 61511 (Draft)(2011 eller 2012?) IEC 61511 (ed 1)(2003) Agenda Generelt Endringer 2020 2000 2010 Del 1 Ed 2(2004) Del 2 Ed 1(2001) Del 4 Del 6 IEC 61508 (ed1)(1998-2000) IEC 61508 (ed2)(2010) Konklusjon OLF 070 Mats Gunnmarker (Exida)

  6. Endringer IEC 61508 – i korthet Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  7. IEC 61511 – status endringer Programvare: Hele seksjon 12 er under omskriving Safety manual for ”prior use”: Klargjøring Diskusjoner om hva dette skal være – leverandørens del versus brukerens ansvar for ”deklarasjon” Agenda Generelt: • Møysommelig implementering av nasjonale kommentarer HFT/AC: • Rute 2H velges som utgangspunkt • Samme klassifisering (A og B) som i IEC 61508 Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  8. Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  9. Agenda Generelt Et utvalg av endringer idel 1 Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  10. Endring i SIS safety lifecycle Forenklet begrepsbruk (Tidligere fase 10 og 11 er blitt ny fase 11) Agenda Fase 9 splittet i to deler Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  11. Kravspesifikasjoner – i tre ”nivåer” (Ed 2) Documentation of allocation Overordnede krav til alle sikkerhetsfunksjoner . Begrunnelse for allokering. Agenda Generelt Endringer E/E/PE system SRS: Prosessingeniørens krav” til SIS funksjoner (responstid, SIL krav, safe state, mode ofoperation, etc) Del 1 Del 2 Del 4 Del 6 SIS design requirements specification: SIS designerens design krav for SIS Konklusjon

  12. Kravspesifikasjoner – i tre ”nivåer” (Ed 2) Agenda Documentation of allocation: Kravikapittel 7.6 I del 1. Generelt Endringer Del 1 E/E/PE system SRS:Krav til innhold står i kapittel 7.10 i del 1. Del 2 Del 4 SIS design requirements specification: Krav til innhold står i kapittel 7.2 i del 2. Del 6 Konklusjon

  13. ”SIL 4 diskusjonen” “SIL 4 krav er et resultat av dårlig design” Tradisjonelt vært prosess Industriens standpunkt Agenda Generelt Endringer Del 1 Jernbane stiller SIL 4 krav til sine systemer – og kravene bygger på analyser av eksisterende signalanlegg Del 2 “SIL 4 systemer er etnaturlig resultat av stadigmer pålitelig teknologi” Del 4 Del 6 Konklusjon

  14. ”SIL 4 diskusjonen” Agenda Er det å tro at vi kan bygge og ikke minst drifte SIL 4 funksjoner det samme som å tro på julenissen? Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  15. SIL 4 – kravene har i alle fall endret seg… • IEC 61508 (ed 1): • Krav til (betydelig) operasjonell erfaring med utstyret som skal inngå i SIL 4 funksjoner • Analyser og tester må vise at SIL 4 kravet kan oppfylles • IEC 61508 (ed 2): • Er SIL 4 virkelig nødvendig?– mulig å allokere SIL 4 kravet til flere systemer? • Hvis SIL 4 krav allikevel stilles til enkeltsystemer: • Tilleggsanalyser for å sikre uavhengighet fra andre systemer (CCF analyse) Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  16. Kompetanse – blitt mer eksplisitte krav • IEC 61508 (ed 1): • Annex B som dekket krav til kompetanse var ”informativt” • IEC 61508 (ed 2): • Tilsvarende krav er tatt i i seksjon 6 ”Management of functional safety” Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  17. Agenda Generelt Et utvalg av endringer idel 2 Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  18. Feil og feilklassifisering Ed 1 Sikre (S*) Ed 2 Agenda Sikre (safe/S) No part Generelt No effect Endringer Farlige detektert (DD) Feil Del 1 Farlige udetektert (DU) Farlige (Dangerous/D) Del 2 Del 4 No effect failure:failure of an element that plays a part in implementing the safety function but has no direct effect on the safety function. No part failure:failure of a component that plays no part in implementing the safety function. Del 6 Konklusjon

  19. Feil og feilklassifisering Ed 1 Sikre (S*) Ed 2 Agenda Sikre (safe/S) No part Generelt No effect Endringer Farlige detektert (DD) Feil Del 1 Farlige udetektert (DU) Farlige (Dangerous/D) Del 2 Del 4 Del 6 Kommentar:No part + No effect feil tilsvarer det vi kaller ”non-critical” feil i PDS metoden Konklusjon

  20. Endringen i feil og feilklassifisering betyr… … at No part og No effectikke skal tas med i safe failurefraction (SFF) – se anneks C.1. Agenda Generelt Endringer Del 1 Del 2 Del 4 Betydning? Del 6 Konklusjon

  21. Feil og feilklassifisering Kommet inn en presisering om hva som kan regnes som en DD feil i beregning av SFF. Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon τDT + Repair time ≤ MTTR (i beregning)

  22. Endringen i feil og feilklassifisering betyr… … at partial stroke testing ikke kan brukes til å forbedre SFF… Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  23. Hardware faulttolerance(HFT) • Mange har satt spørsmålstegn ved behovet for arkitekturbegrensninger (”architecturalconstraints” /minimum HFT) • I all fall i forhold til bruken av SFF • I ny revisjon har vi fått et kompromiss: • Arkitekturbegrensninger påvirkes av SFF (Rute 1H) • Arkitekturbegrensninger påvirkes ikke av SFF (Rute 2H) Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  24. Slik det var i ed 1… Agenda Sensors Logic solver Actuating devices Generelt Endringer • A eller B? • SFF? • SIL krav Del 1 Del 2 Del 4 Krav til HFT Del 6 Konklusjon *eller ”architectural constraints” (AC)

  25. Nå i ed 2… Alternativ 1 - Route 1H Vi gjør som før…(men husk at utstyr nå kan få en ny beregnet SFF) Agenda Generelt Endringer Alternativ 2 - Route 2H Del 1 Del 2 Del 4 Del 6 • Betinger: • Usikkerhet presenteres (”90% konfidens eller vise distribusjon”) • Mengde og relevans av pålitelighetsdata vurderes • SFF i alle fall er > 60% Konklusjon

  26. Systematicsafetyintegrity • Krav til systematicsafetyintegrity (i ed 1) hindret i prinsippet bruk av, for eksempel, SIL 2 komponenter i SIL 3 funksjoner. • I ed 2 er systematiccapability (SC) blitt introdusert • SC bestemmes på komponentnivå (4 nivåer som for SIL) • Under gitte betingelser kan komponentene – når de sammenstilles – oppnå en høyere SC Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  27. Slik var det i ed 1 … • Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC SIL1 Agenda • Subsystem vurdert til systematicsafetyintegritylevel 1 Generelt SIL1 Endringer Del 1 Del 2 Systematic safety integrity level (komponentnivå) : • Alternativ 1: • Følge krav for “control and avoidanceofsystematicfailures” – noen ”SIL-avhengig”, mens andre er generelle • Alternativ 2: • Dokumentere “proven in use”, inkludert det å sannsynliggjøre at systematiske feil vil ha neglisjerbart bidrag (i forhold til SIL krav). Del 4 Del 6 Konklusjon

  28. Slik er det blitt i ed 2 • Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC SIL1 Agenda = • SubsystemNÅ vurdert til systematiccapabilitylevel 2 Generelt SIL1 Endringer Begrensning: SC (subsystem) kan ikke bli høyere enn SC N+1 Del 1 Del 2 Systematic capability (komponentnivå): Del 4 • Alternativ 1S : Tilsvarende alternativ 1 i ed 1 • Alternativ 2S : Tilsvarende alternativ 2 i ed 1 (med noen endringer) • Alternativ 3S : Ny: Hvis gjenbruk av software – må oppfylle egne 3S krav i IEC 61508-3 Del 6 Konklusjon

  29. Kommentar – HFT/SC inkonsistens? 1oo3 SIL2 Agenda N = HFT (= 2 i figuren) Her kan systemet betraktes som SIL 4 (ut fra ”AC”) Generelt SIL1 Endringer SIL1 Del 1 Del 2 Del 4 Del 6 Konklusjon

  30. Kommentar – HFT/SC inkonsistens? 1oo3 N er her SC level Her kan systemet betraktes som SIL 2 (basert på SC) SC2 Agenda Generelt SC1 Endringer SC1 Del 1 Del 2 Del 4 Del 6 Konklusjon

  31. Andre endringer – Safety manual må utarbeides Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon osv… Ligner litt på det som kalles ”SAR” I OLF 070

  32. Andre endringer – Safety manual må utarbeides Agenda Generelt Endringer Del 1 Del 2 Innhold beskrevet i egen anneks. Merk at denne er normativ! Del 4 Del 6 Konklusjon

  33. Andre endringer – Krav til ”Proven in use” Agenda • IEC 61508 (ed 1): • En liste av krav som skal oppfylles • Feilraten skal ha en konfidens på minst 70% • (70% confidens: Minst 70% sannsynlighet for at feilraten er mindre enn den det som er estimert) • IEC 61508 (ed2): • Omtrent samme kravlisten • Men krav til konfidens 70% er tatt ut her (i stedet nevnt i 7.4.9.5, del 2) Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  34. Andre endringer– hvordan kommunikasjon skal inngå i pålitelighetsvurderinger Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  35. Andre endringer: Integrated circuits (IC) • To typer: • Masseproduserte • Applikasjonsspesifikke (ASIC) Agenda Generelt • ”On-chip redundancy” • Krav for hvordan dette oppnås innenfor samme kort opp til SIL 3 (annex E) • Merk: • Egen metode for å bestemme fellesfeilandel (βIC) • Application specific IC (ASIC) • Egne krav for å hindre systematiske feil under utvikling (annex F) Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  36. Agenda Generelt Et utvalg av endringer idel 4 Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  37. Endringer definisjoner og fortolkninger Agenda • Dangerous /safe failures: • Tydeliggjort at klassifisering av farlige og sikre feil skjer på komponentnivå. • Mode ofoperation: • Skilles mellom highdemand, continuousdemand og lowdemand. • Dette med ”2xtest frekvens” er fjernet • PFD og PFH: • Definisjon tatt inn. PFH er en frekvens! Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  38. Agenda Generelt Et utvalg av endringer idel 6 Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  39. Beregning av PFD (IEC 61508-6) Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  40. CMooN i IEC 61508 Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 • Litt andre verdier enn i PDS • Ikke tatt inn i formelverk Konklusjon

  41. Feiltreanalyse i IEC 61508 Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  42. Dynamiske analyser i IEC 61508 Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  43. Hva betyr dette for oss? Og PDS metoden? Agenda Generelt Endringer Del 1 Del 2 Del 4 λτ/2 eller Del 6 Konklusjon

  44. Hva betyr dette for oss? Og PDS metoden? Blir nok viktigere fremover å si noe om usikkerhet i analysen! Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  45. Konklusjoner – IEC 61508 og IEC 61511 • IEC 61508 har fått en mer rendyrket profil som en ”utviklingsstandard” for nytt utstyr • Skillet mellom IEC 61511 vil dermed fremstå klarere • Endringer i IEC 61508 vil gi behov for noen oppdateringer i OLF 070 – og kanskje mer utvikling av PDS metoden? • Men når skal vi gjøre det? Vente på IEC 61511? Agenda Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  46. Konklusjoner – fremdrift IEC 61511 Agenda • Neste møte i desember 2010 • Dato for CDV bestemmes da Generelt Endringer Del 1 Del 2 Del 4 Del 6 Konklusjon

  47. ROSS Geminisenter www.ntnu.edu/ross Min mailadresse: mary.a.lundteigen@ntnu.noMin hjemmeside: www.ntnu.edu/ross/rams/maryann

  48. Forkortelser

More Related